Google Analytics er dømt ulovlig - i standard-version

Slut med at bruge det populære Google-værktøj, som du kender det. Du kan dog fortsætte, hvis du beskytter brugernes data bedre, fortæller Datatilsynet

Del på:
Facebook
Twitter
LinkedIn

I januar vendte det østrigske datatilsyn tomlen ned for organisationers brug af Google Analytics. Siden har tilsynene i Frankrig og Italien - og nu også Danmark - fulgt trop og sagt stop. Den fortolkning deles af Det Europæiske Databeskyttelsesråd og kommer til at gælde i hele EU, skriver Datatilsynet i en pressemeddelelse.

- Reglerne i GDPR er lavet for at beskytte europæiske borgeres privatliv. Det betyder blandt andet, at man skal kunne besøge en hjemmeside, uden at ens oplysninger kan ende i de forkerte hænder. Vi har gennemgået mulighederne i Google Analytics nøje og er kommet frem til, at man ikke kan bruge værktøjet i sin nuværende form uden at træffe yderligere foranstaltninger, siger Makar Juhl Holst, chefkonsulent i Datatilsynet.

Problemet er, at Analytics-data sendes videre til Googles servere i USA, hvilket EU-domstolen ikke betragter som sikker beskyttelse af persondata. Ligesom Google - trods pseudonymisering af data – med tilpas store datamængder på den enkelte, kan koble et hjemmesidebesøg til bestemte personer.

Siden afgørelsen fra det østrigske datatilsyn i januar har Google forsøgt at komme dommen i møde med nye tilpasninger af indstillingsmulighederne i Analytics. Men det har ikke været nok, uddyber han:

- Siden vores europæiske kollegaers afgørelser har vi set nærmere på værktøjet og de konkrete indstillinger, man kan gøre brug af, hvis man gerne vil bruge Google Analytics. Det har været særligt relevant, da Google i kølvandet på den første afgørelse fra Østrig er begyndt at stille yderligere indstillinger til rådighed i forhold til, hvilke oplysninger der kan indsamles via værktøjet. Men konklusionen er dog stadig, at værktøjet ikke uden videre kan bruges lovligt.

Danske virksomheder skal sadle om

Det betyder, at danske virksomheder nu har to valg: Stoppe med at bruge det populære værktøj – eller lave justeringer, som gør det lovligt. Og det har datatilsynet et bud på.

For selv om tilsynets vigtigste opgave er at sikre borgernes rettigheder, så skal tilsynet også vejlede virksomheder i af efterleve databeskyttelsesreglerne - og gør en undtagelse, hvad angår teknologineutralitet, fordi så mange virksomheder benytter Google Analytics.

- Som det er tilfældet med databeskyttelsesreglerne, er vi i Datatilsynet teknologineutrale, og vi har derfor ingen interesse i hverken at blåstemple eller forbyde visse produkter. Det har vi slet ikke beføjelser til. Men i kølvandet på vores europæiske kollegaers afgørelser har vi dog oplevet en stor efterspørgsel på konkret vejledning i forhold til lige præcis Google Analytics, og vi har derfor brugt kræfter på at undersøge dette specifikke værktøj nærmere, forklarer Makar Juhl Holst.

En mulig løsning er at lave en effektiv pseudonymisering, fx via en reverse proxy, foreslår det danske datatilsyn. Altså at virksomhedens data i første omgang sendes til en server i EU, hvor det skal sikres, at pseudonymiserede personoplysninger på ingen måde kan bruges til at identificere enkeltpersoner – før disse data sendes videre til Googles servere i USA.

Kan din virksomhed ikke lave sådanne tiltag, opfordrer Datatilsynet til at finde et andet værktøjet, der kan levere sikker webstatistik og overholde EU's databeskyttelsesregler.

Datatilsynet har dog ingen autuelle planer om at holde tilsyn med området i år, siger chefkonsulent Makar Juhl Holst til Finans.dk.

- Men vi er ikke herre over, om andre mener, at deres rettigheder bliver krænket. De vil altid kunne klage til Datatilsynet, og så ser vi på, om det er en sag, vi skal behandle.

Del på:
Facebook
Twitter
LinkedIn

0 Kommentarer

Retningslinjer for businessdanmark.dk/InBusiness

Eksterne redaktionelle bidrag (tekst + illustration) må ikke:

  • overtræde dansk lovgivning og/eller opfordre til kriminalitet
  • krænke, true eller forfølge personer eller grupper af personer
  • krænke privatlivets fred
  • linke til/markedsføre hjemmesider, der opfordrer til kriminalitet, krænker, truer eller forfølger personer eller grupper af personer
  • linke til/markedsføre kommercielle hjemmesider, konkrete produkter, firmaer eller salgsmaterialer.

Kommentarer til artikler på businessdanmark.dk/InBusiness skal relatere sig til indholdet, og krænkende/truende sprog tillades ikke.

Kommentarerne bliver offentlig tilgængelige og kan fremsøges via en søgemaskine, så undgå personfølsomme oplysninger.

Alt, der strider mod disse regler, slettes uden varsel.